Erforderliche FQDNs und Endpunkte für Azure Virtual Desktop
Damit Sie Azure Virtual Desktop bereitstellen und Ihre Benutzer*innen eine Verbindung herstellen können, müssen Sie bestimmte vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN) und Endpunkte zulassen. Benutzer*innen müssen auch in der Lage sein, sich mit bestimmten FQDNs und Endpunkten zu verbinden, um auf ihre Azure Virtual Desktop-Ressourcen zuzugreifen. In diesem Artikel werden die erforderlichen FQDNs und Endpunkte aufgeführt, die Sie für Ihre Sitzungshosts und Benutzer*innen zulassen müssen.
Diese FQDNs und Endpunkte können blockiert werden, wenn Sie eine Firewall wie Azure Firewall oder einen Proxydienst verwenden. Einen Leitfaden zur Verwendung eines Proxydiensts mit Azure Virtual Desktop finden Sie unter Proxyserverrichtlinien für Azure Virtual Desktop. Dieser Artikel enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.
Sie können überprüfen, ob Ihre Sitzungshost-VMs eine Verbindung mit diesen FQDNs und Endpunkten herstellen können, indem Sie die Schritte zum Ausführen des URL-Tools des Azure Virtual Desktop-Agents unter Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop ausführen. Das URL-Tool des Azure Virtual Desktop-Agents überprüft jeden FQDN und Endpunkt und zeigt an, ob Ihre Sitzungshosts auf diese zugreifen können.
Wichtig
Microsoft unterstützt keine Azure Virtual Desktop-Bereitstellungen, bei denen die in diesem Artikel aufgeführten FQDNs und Endpunkte blockiert sind.
Virtuelle Sitzungshost-Computer
In der folgenden Tabelle finden Sie die Liste der FQDNs und Endpunkte, die für Ihre Sitzungshost-VMs zugänglich sein müssen, um auf Azure Virtual Desktop zuzugreifen. Bei allen Einträgen handelt es sich um ausgehende Ports. Sie müssen keine eingehenden Ports für Azure Virtual Desktop öffnen. Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.
| Adresse | Protokoll | Ausgehender Port | Purpose | Diensttag |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentifizierung bei Microsoft Online Services | |
*.wvd.microsoft.com |
TCP | 443 | Dienstdatenverkehr | WindowsVirtualDesktop |
*.prod.warm.ingest.monitor.core.windows.net |
TCP | 443 | Agent-Datenverkehr Diagnoseausgabe |
AzureMonitor |
catalogartifact.azureedge.net |
TCP | 443 | Azure Marketplace | AzureFrontDoor.Frontend |
gcs.prod.monitoring.core.windows.net |
TCP | 443 | Agent-Datenverkehr | AzureCloud |
azkms.core.windows.net |
TCP | 1688 | Aktivierung von Windows | Internet |
mrsglobalsteus2prod.blob.core.windows.net |
TCP | 443 | Agent- und parallele (Side-by-Side, SXS) Stapelupdates | AzureCloud |
wvdportalstorageblob.blob.core.windows.net |
TCP | 443 | Unterstützung des Azure-Portals | AzureCloud |
169.254.169.254 |
TCP | 80 | Azure-Instanzmetadatendienst-Endpunkt | N/V |
168.63.129.16 |
TCP | 80 | Sitzungshost-Systemüberwachung | N/V |
oneocsp.microsoft.com |
TCP | 80 | Zertifikate | N/V |
www.microsoft.com |
TCP | 80 | Zertifikate | N/V |
In der folgenden Tabelle sind optionale FQDNs und Endpunkte aufgeführt, auf die Ihre Sitzungshost-VMs möglicherweise für andere Dienste ebenfalls zugreifen müssen:
| Adresse | Protokoll | Ausgehender Port | Purpose | Diensttag |
|---|---|---|---|---|
login.windows.net |
TCP | 443 | Anmelden bei Microsoft Online Services und Microsoft 365 | N/V |
*.events.data.microsoft.com |
TCP | 443 | Telemetriedienst | N/V |
www.msftconnecttest.com |
TCP | 80 | Ermittelt, ob der Sitzungshost mit dem Internet verbunden ist. | N/V |
*.prod.do.dsp.mp.microsoft.com |
TCP | 443 | Windows Update | N/V |
*.sfx.ms |
TCP | 443 | Updates für die OneDrive-Clientsoftware | N/V |
*.digicert.com |
TCP | 80 | Überprüfung der Zertifikatsperre | N/V |
*.azure-dns.com |
TCP | 443 | Azure DNS-Auflösung | N/V |
*.azure-dns.net |
TCP | 443 | Azure DNS-Auflösung | N/V |
*eh.servicebus.windows.net |
TCP | 443 | Diagnoseeinstellungen | EventHub |
Diese Liste enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID, Office 365, benutzerdefinierte DNS-Anbieter oder Zeitdienste. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.
Tipp
Sie müssen das Platzhalterzeichen (*) für FQDNs für Dienstdatenverkehr verwenden. Falls Sie für Agent-Datenverkehr kein Platzhalterzeichen verwenden, können Sie spezifische FQDNs, die zugelassen werden müssen, wie folgt ermitteln:
- Vergewissern Sie sich, dass die virtuellen Sitzungshost-Computer in einem Hostpool registriert sind.
- Öffnen Sie auf einem Sitzungshost die Ereignisanzeige, navigieren Sie zu Windows-Protokolle>Anwendung>WVD-Agent, und suchen Sie nach der Ereignis-ID 3701.
- Heben Sie die Blockierung von FQDNs auf, die Sie unter der Ereignis-ID 3701 finden. Die FQDNs unter der Ereignis-ID 3701 sind regionsspezifisch. Sie müssen diesen Vorgang mit den entsprechenden FQDNs für jede Azure-Region wiederholen, in der Sie Ihre Sitzungshost-VMs bereitstellen möchten.
Dienst-Tags und FQDN-Tags
Ein Dienst-Tag für ein virtuelles Netzwerk steht für eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst. Microsoft verwaltet die Adresspräfixe, für die das Diensttag gilt, und aktualisiert das Tag automatisch, wenn sich die Adressen ändern. Auf diese Weise wird die Komplexität häufiger Updates an Netzwerksicherheitsregeln minimiert. Dienst-Tags können sowohl in der Netzwerksicherheitsgruppe (NSG) als auch in Azure Firewall-Regeln verwendet werden, um den ausgehenden Netzwerkzugriff einzuschränken. Dienst-Tags können auch in benutzerdefinierter Route (UDR) verwendet werden, um das Routing-Verhalten des Datenverkehrs anzupassen.
Azure Firewall unterstützt Azure Virtual Desktop als FQDN-Tag. Weitere Informationen finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop-Bereitstellungen.
Wir empfehlen, FQDN- oder Diensttags zu verwenden, um die Konfiguration zu vereinfachen. Die aufgeführten FQDNs, Endpunkte und Tags beziehen sich nur auf Azure Virtual Desktop-Websites und -Ressourcen. FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID sind nicht enthalten. Diensttags für andere Dienste finden Sie unter Verfügbare Diensttags.
Azure Virtual Desktop verfügt nicht über eine Liste mit IP-Adressbereichen, die Sie anstelle von FQDNs entsperren können, um Netzwerkdatenverkehr zuzulassen. Wenn Sie eine Firewall der nächsten Generation (Next Generation Firewall, NGFW) verwenden, müssen Sie eine dynamische Liste verwenden, die für Azure-IP-Adressen erstellt wurde, um sicherzustellen, dass Sie eine Verbindung herstellen können.
Endbenutzergeräte
Alle Geräte, auf denen Sie mit einem der Remotedesktopclients eine Verbindung mit Azure Virtual Desktop herstellen, müssen auf die folgenden FQDNs und Endpunkte zugreifen können. Das Zulassen dieser FQDNs und Endpunkte ist für einen zuverlässigen Clientbetrieb von entscheidender Bedeutung. Das Blockieren des Zugriffs auf diese FQDNs und Endpunkte wird nicht unterstützt und beeinträchtigt die Dienstfunktionalität.
Wählen Sie die relevante Registerkarte basierend auf der von Ihnen verwendeten Cloud aus.
| Adresse | Protokoll | Ausgehender Port | Purpose | Client(s) |
|---|---|---|---|---|
login.microsoftonline.com |
TCP | 443 | Authentifizierung bei Microsoft Online Services | All |
*.wvd.microsoft.com |
TCP | 443 | Dienstdatenverkehr | All |
*.servicebus.windows.net |
TCP | 443 | Problembehandlung für Daten | All |
go.microsoft.com |
TCP | 443 | Microsoft FWLinks | All |
aka.ms |
TCP | 443 | Microsoft-URL-Verkürzung | All |
learn.microsoft.com |
TCP | 443 | Dokumentation | All |
privacy.microsoft.com |
TCP | 443 | Datenschutzbestimmungen | All |
query.prod.cms.rt.microsoft.com |
TCP | 443 | Laden Sie ein MSI- oder MSIX-Paket herunter, um den Client zu aktualisieren. Erforderlich für automatische Updates. | Windows Desktop |
graph.microsoft.com |
TCP | 443 | Dienstdatenverkehr | All |
windows.cloud.microsoft |
TCP | 443 | Verbindungscenter | Alle |
windows365.microsoft.com |
TCP | 443 | Dienstdatenverkehr | All |
ecs.office.com |
TCP | 443 | Verbindungscenter | Alle |
Diese FQDNs und Endpunkte gelten lediglich für die Clientstandorte und -ressourcen. Die Liste enthält keine FQDNs und Endpunkte für andere Dienste wie Microsoft Entra ID oder Office 365. Microsoft Entra-FQDNs und -Endpunkte finden Sie unter den IDs 56, 59 und 125 in URLs und IP-Adressbereiche von Office 365.
Wenn Sie sich in einem geschlossenen Netzwerk mit eingeschränktem Internetzugriff befinden, müssen Sie möglicherweise auch die hier aufgeführten FQDNs für Zertifikatsüberprüfungen zulassen: Details zur Azure-Zertifizierungsstelle | Microsoft Learn.
Nächste Schritte
Überprüfen des Zugriffs auf erforderliche FQDNs und Endpunkte für Azure Virtual Desktop
Informationen dazu, wie Sie die Blockierung dieser FQDNs und Endpunkte in Azure aufheben, finden Sie unter Verwenden von Azure Firewall zum Schutz von Azure Virtual Desktop.
Weitere Informationen zur Netzwerkkonnektivität finden Sie unter Grundlegendes zur Azure Virtual Desktop-Netzwerkkonnektivität